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Die folgenden Angaben sind den vom Anrnelder eingereichten Unterlagen entnommen 

(3) Digitalsignatur-Protokoll 

(57) Ein Digitalsignatur-Protokoll erzeugt unter Verwendung 
einer Mischsumme einer verschlusselten Nachricht einen 
Signaturbestandteil. Bestandteil und verschlusselte 
Nachricht bilden ein Signaturpaar, das an einen Empfan- 
ger weitergeleitet wird. Beim Empf anger wird rnit Hilfe 
der Verschlusselungsnachricht der Verschlusselungs- 
schlussel zuruckgewonnen und werden die Informatio- 
nen in der Nachricht beglaubigt. Das Signaturpaar kann 
auf einen Datentrager als Strichcode aufgetragen wer- 
den, zur Verwendung in postaltschen Zustelldiensten. 
Durch Einsatz einer Mischsumme der Nachricht erhalt 
man eine verringerte Nachrichtenlange, da fur die einzel- 
nen Bestandteile der Nachricht keine individuellen Signa- 
turen erforderlich sind. 
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Beschreibung 

Die vorliegende Erfindung betrifft Digitalsignatur-Proto- 
kolle. Verschliisselungsverfahren mil offentlichem Schlus- 
- sel sind wohlbekannt und verwenden einen offentlichen 
Schliissei und einen privaten Schiussel, die mathematisch 
mileinander in Beziehung stehen. Die fehlerfesteren basie- 
ren auf der Unldsbarkeit des Problems des diskreten Log- 
arilhmus in einer endlichen Gruppe. 

Bei derartigen Verschlusselungssystemen mit offentli- 
chem Schliissei werden ein Gruppenelement und ein Gene- 
rator fur die Gruppe eingesetzt. Der Generator ist ein Ele- 
ment, aus dem jedes andere Gruppenelement durch wieder- 
holte Anwendung der zugrundeliegenden Gruppen-Opera- 
tion erhalten werden kann, das heiBt durch wiederholten Zu- 
sammenbau des Generators. Herkommlicherweise wird dar- 
unter eine Potenzierung des Generators mit einem ganzzah- 
ligen Exponenten verstanden, was je nach der zugrundelie- 
genden Gruppenoperation als k-fache Multiplikauon des 
Generators oder als k-fache Addition des Generators darge- 
stellt werden kann. Bei einem derartigen Verschltisselungs- 
system mit offentlichem Schliissei wird eine ganze Zahl k 
als privater Schiussel verwendet und geheimgehalten. Ein 
entsprechender offentlicher Schiussel wird durch Potenzie- 
ren des Generators a mit der ganzen Zahl k erhalten, so daB 
ein offentlicher Schiussel in der Form cfi bereitgestellt wird. 
Der Wert der ganzen Zahl k kann nicht hergeleitet werden, 
obwohl der Exponent ct k bekannt ist. 

Der offentliche und der private Schiussel konnen bei einer 
Nachrichtenuberlragung uber ein Datenkommunikationssy- 
stem eingesetzt werden, wobei einer der Teilnehmer die Da- 
ten mit dem offentlichen Schliissei a k des Empfangers ver- 
schlusseln kann. Der Empfanger empfangt die verschlus- 
selte Nachricht und verwendet seinen privaten Schiussel k, 
um die Nachricht zu entschliisseln und den Inhalt zuriickzu- 
gewinnen. Da die ganze Zahl k nicht hergeleitet werden 
kann, wird beim Abhoren der Nachricht der Inhalt nicht 
preisgegeben. 

Eine ahnliche Technik kann eingesetzt werden, um die 
Echtheit einer Nachricht durch Verwenden einer digitalen 
Signatur.zu verifizieren. Bei dieser Technik unterzeichnet 
der Sender der Nachricht die Nachricht mit einem privaten 
Schiussel k, und ein Empfanger kann verifizieren, daB die 
Nachricht vom Sender stammt, indem er die Nachricht mit 
dem offentlichen Schiussel a k des Senders entschltisselt. 
Ein Vergleich zwischen einer Funktion der Klartextnach- 
richt und der wiederhergestellten Nachricht bestiitigt die 
Echtheit der Nachricht. 

Zum Umsetzen eines Digitalsignatur-Verfahrens existie- 
ren verschiedene Protokolle, und einige haben groBe Ver- 
breitung gefunden. Allerdings ist es bei jedem Protokoll er- 
forderlich, einen Schutz gegen einen bedrohlichen Angriff 
vorzusehen, bei dem ein Betriiger moglicherweise wahrend 
der Ubertragung eine neue Nachricht substituiert, was den 
Empfanger glauben machl, daB er mit einer beslimmten Per- 
son korrespondiert. Nach der Feststellung einer derartigen 
Berechtigung ist es moglich, daB der Empfanger dann Infor- 
mationen offenlegt, die er nicht offenlegen sollte, oder er 
schreibt dem Sender unrichtigerweise Informationen zu. 

Um einen bedrohlichen Angriff zu verrneiden, ist es ub- 
lich, daB die Nachricht eine gewisse Redundanz enthalt, 
zum Beispiel durch Wiederholen eines Teils der Nachricht 
oder in einigen Fallen der ganzen Nachricht. Dadurch wird 
diejenige Funktion der Nachricht gebildet, die die Echtheit 
bcstatigt. Durch die Redundanz wird inncrhalb der wieder- 
hergestellten Nachricht ein Muster gebildet, was von dem 
Empfanger erwartet wird. Es ist unwahrscheinlich, daB ir- 
gendeine Manipulation an der Nachricht bei der Entschliis- 
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selung ein derartiges Muster erzeugt, weshalb die Manipula- 
tion ohne wei teres erkannt wird. 

Durch die Redundanz wird allerdings die Lange der 
Nachricht und somit die zum Ubertragen der Nachricht er- 
5 forderliche Bandbreite vergroBert. Im allgem einen ist dies 
unerwunscht, und die Auswirkung davon ist als reduzierte 
Ubertragungsrate fur die Nachricht zu sehen. Bei einigen 
Anwendungen allerdings ist die Lange der Nachricht kri- 
tisch, da die unterzeichnete Nachricht moglicherweise als 

to gedrucktes Dokument reproduziert wird und die Lange der 
Nachricht dann den Umfang des gedruckten Dokuments be- 
einfluBt. Eine derartige Anwendung besteht in einem posta- 
lischen Umfeld, wo ein Stri encode eingesetzt werden kann, 
um Ziel, Postgebuhr, Rate und den Sender anzuzeigen. Um 

15 Betrug zu verrneiden, wird die Nachricht von einer Berech- 
tigungsstelle digital unterzeichnet, und ein digitaler Strich- 
code wird zusammengestellt, der die in der unterzeichneten 
Nachricht enthaltenen Informationen darstellt. Was die Les- 
barkeit und das Verhindern von Fehlern, die beispielsweise 

20 durch das Auslaufen von Farbe hervorgerufen werden, be- 
trifft, so unterliegt die Strichcodedarstellung bestimmten 
physikalischen Begrenzungen. Eine lange Nachricht erzeugt 
infolgedessen einen UbermaBig iangen Strichcode, insbe- 
sondere dann, wenn die zum Verhindern des bedrohlichen 

25 Angriffs erforderliche Redundanz durch die Wiederholung 
der gesamten Nachricht gebildet wird. 

Die Lange der Nachricht ist besonders bei digitalen Un- 
terschriften von Nachrichten akut, die aus diskreten Blocken 
zusammengebaut sind, wie beispielsweise in einem derarti- 

30 gen postalischen Umfeld. Bei einem herkoiinnlichen Signa- 
turprotokoll wird ein kurzfris tiger Geheimschlussel k (der 
Sitzungsschliissel) gewahlt und zum Potenzieren des Gene- 
rators a der zugrundeliegenden Gruppe verwendet, um ei- 
nen kurzfristigen offentlichen Schliissei r=a k zu erhalten. 

35 Von r wird eine Bitkette r' hergeleitet und zum Verschlusseln 
der Nachricht in verwendet, um Schlusseltext e zu erhalten, 
das heiBt e=E r - (m), wobei die Anwendung eines Ver- 
schlusselungs-Algorithmus mit dem Schiussel r' auf die 
Nachricht (m) bezeichnet. 

40 Es wird ein Signaturbestandteil s erzeugt, der Informatio- 
nen enthalt, damit die Echtheit der Signatur verifiziert wer- 
den kann. Die Natur des Signaturbestandteils hangt von dem 
umgesetzten Protokoll ab, doch kommt bei einem typischen 
beispielhaften Protokoll ein Signaturbestandteil s der Form 

45 s=ae+k mod(n) zum Einsatz, wobei n die Ordnung der 
Gruppe ist. Die Werte des Signaturpaars s, e werden weiter- 
geleitet. 

Bei diesem Protokoll berechnet der Empfanger a s (ot °) c , 
wobei ar a der offentliche Schliissei des Senders ist, um a k 
50 zu erhalten, das den kurzfristigen offentlichen Schliissei r 
darstellt. 

Zum Zuriickgewinnen der Nachricht m kann der Schliis- 
seltext e dann unter Verwendung des Schliissels r' entschlus- 
selt werden. 

55 Wenn eine Nachricht aus mehreren Blocken zusammen- 
gesetzt ist, d. h. m=mi; m 2 ; rn 3 , kann der Schlusseltext e fur 
den Block mj erhalten und das entsprechende Paar s, e wei- 
tergeleitet werden. Allerdings hangt der Signaturbestandteil 
s von der Verschliisselung des ersten Blocks ab, was die 

60 nachfolgenden Blocke anfallig macht. Es ist deshalb erfor- 
derlich, jeden Block zu unterzeichnen und mehrfache Signa- 
turen weilerzuleiten, die alle die Lange der Nachricht ver- 
groBem. 

Eine Aufgabe der vorliegenden Erfindung besteht somit 
65 darin, die obigen Nachtcilc zu verrneiden oder zu lindcm. 

Allgemein ausgedruckt, erzeugt die vorliegende Erfin- 
dung eine verschlusselte Nachrichtenkette e mit einem 
Schiussel r\ und der Schlusseltext wird an den Empfanger 
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weitergeleitet. Die verse hllisselte Nachrichlenkette e wird 
auch durch eine Hash-Funktion verarbeitet, und die resultie- 
rende Mischsumme e' wird in der SignaLur s verwendet. Der 
Empfanger stellt die Nachricht wieder her, indem er die 
Nachrichtenkette e einem Hashing unterzieht und mil Hilfe 5 
des Wertes den Verschlusselungsschlussel r' wiederhersteUt. 
Die Nachricht kann dann aus der Nachrichtenkette e wieder 
hergestellt werden. 

Die Redundanz kann gegebenen falls uberprUft werden, 
urn die Genauigkeit der Nachricht sicherzustellen, es muB 10 
aber nur ein Signaturpaar ubertragen werden. Da die Signa- 
tur aus der Mischsumme der verschlusselten Nachrichten- 
kette e erzeugt wird, konnen einzelne Daten blocke nicht 
verandert werden. 

Als weitere Praferenz kann das die Nachricht begleilende 15 
Zertifikat als einer der Blocke in die Nachricht eingebaut 
und signiert werden. Das Zertifikat weist die erforderliche 
Redundanz fiir die Berechtigung auf, weil aber die Misch- 
summe der Kette in der Signatur verwendet wird, erfordert 
die Symmetric der Blocke keinerlei Redundanz. Dement- 20 
sprechend kann eine kiirzere Nachricht verwendet werden. 

Ausfuhrungsformen derErfindung werden nunmehr unter 
Bezugnahme auf die beiliegenden Zeichnungen lediglich 
beispielhaft beschrieben. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Datenkommu- 25 
nikationssystems; 

Fig. 2 eine schematische Darstellung eines Blocks von 
Nachrichten; 

Fig. 3 ein FluBdiagramm, das das Erzeugen einer digita- 
len Signatur und das Wiederherstellen einer Nachricht zeigt; 30 
und 

Fig. 4 eine der Fig. 2 ahnliche schematische Darstellung 
einer alternativen Ausfuhrungsform. 

Unter Bezugnahme auf Fig. 1 enthalt ein Datenkommuni- 
kationssystem 10 ein Teilnehmerpaar 12, 14 und einen 35 
Kornmunikationskanal 16. Wie durch die durchgezogene 
Linie angezeigt, kann der Kornmunikationskanal 16 ein un- 
terbrechungsfreier Kanal zwischen den beiden Teiinehmern 
12, 14 sein, so daB zwischen den Teiinehmern digit ale Infor- 
mationen ubertragen werden konnen. Es versteht sich aller- 40 
dings, daB der Kanal 16, wie durch strichpunktierte Linien 
angedeutet, unterbrochen sein kann, so daB der Sender 12 
mit einer Strichcode-Zusammenstelleinrichtung 18, die di- 
gitate Informationen empfangt, in Verbindung steht, sie in 
einen Strichcode umwandelt und Strichcodeangaben 20 auf 45 
einen Umschlag 22 druckt. Die Angaben 20 konnen dann 
mit einem Strichcodelesegerat 24 gelesen und die wieder- 
hergestellte Nachricht an den Empfanger 14 Ubermittelt 
werden, . 

Jeder der Teilnehmer 12, 14 enthalt eine Verschlussei- 50 
ungseinheit 26 bzw. 28, die digitale Informationen verarbei- 
ten und sie zur Ubertragung durch den Kanal 16 vorbereiten 
kann, wie unlen beschrieben wird. 

Wie in Fig. 2 zu erkennen ist, beabsichtigt der Teilnehmer 
12, eine digitale Bolschafl in zu erzeugen, die verschliisselt 55 
und Liber die Strichcodezusammenstelleinrichtung auf den 
Umschlag 22 aufgebracht werden kann. Die digitale Nach- 
richt m besteht aus mehreren diskreten Blocken mj, m 2 , m 3 , 
. . ., die jeweils ein bestirnmtes Teil der Informationen dar- 
stellen. Bei der Nachricht mj kann es sich beispielsweise um 60 
die Adresse des Senders handeln, die Nachricht m 2 kann die 
Adresse des Empfangers sein, die Nachricht m 3 kann die zu- 
treftende Postgebuhr sein, und die Nachricht m 4 kann die 
berechnete Postgebuhr sein und ein elektronisches Abbu- 
chen bewirken. 65 

Um die Nachricht m digital zu unterzeichnen, iaBt der 
Teilnehmer 12 sie durch die Verschlusselungseinheit 26 ver- 
arbeiten. Die Einheit 26 enthalt einen Zahlengenerator 30, 
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der eine zufallsrnaBige ganze Zahl k wahlt und bei einer Po- 
tenziereinheit 32 einen kurzfrisligen oflentlichen Schlussel r 
berechnet. Die Einheit 26 kann unter jedem der bewahrten 
Verschliisse lungs verfahren laufen, eine besonders gunstige 
Realisierung jedoch verwendet elliptische Kurven liber ei- 
nem endlichen Feld. Der kurzfristige oftentiiche Schlussel r 
wird von dem Generator der Gruppe a hergeleitet, die mit 
der ganzen Zahl k potenziert wird, so daB r=a k ist, Bei einer 
Umsetzung mit einer elliptischen Kurve ist die zugrundelie- 
gende Feldoperation die Addition, so daB die "Potenzie- 
rung" durch k-fache Addition eines Punktes P erhalten wird, 
so daB der offentliche Schlussel ein Punkt kP auf der Kurve 
ist. 

Eine Bitkette r' wird aus r erhalten, indem ein vorbe- 
stinimter Algorithmus, wie beispielsweise eine modulorRe- 
duktion, oder, wenn die Umsetzung uber eine elliptische 
Kurve geschieht, eine Koordinate des den offentlichen 
Schlussel darstellenden Punktes angewendet wird, und von 
der Verschlusselungseinheit als Schlussel zum Verschlus- 
seln jedes der Blocke mj, m 2 usw. beim Verschlusselungs- 
modul 34 verwendet. Die verschlusselten Blocke e; eo; . . 
werden zu einer Nachrichtenkette e verkettet, wobei 
e=ej//e 2 // . . e k und wobei allgemein epErKmj) in einem 
Register 36 ist. 

Die Verschlusselungseinheit 26 beinhaltet eine bei 38 an- 
gedeutete Hash-Funktion, die die Schiiisseltextkette e so 
verarbeitet, daB eine verkiirzte Bitkette entsteht, die die 
Mischsumme e' umfaBt. Geeignete Hash-Funktion en sind 
sichere kryptographische Einweg-Hash-Funktionen wie 
zum Beispiel SHA. 

Von einer Arithmetikeinheit 40 wird dann unter Verwen- 
dung der Mischsumme e' und des privaten Schlussels k, von 
dem der Verschlusselungsschlussel r abgeleitet ist, ein Si- 
gn aturbestandteil s erzeugt. Ein geeigneter Bestandteil weist 
die Form 

s = ae' + k mod(n) 

auf, wobei a der iangfristige Privatschlussel des Teilnehmers 
12 und k der vom Teilnehmer 12 gewahlte kurzfristige pri- 
vate Schlussel ist. 

Die Verschlusselungseinheit stellt die Nachricht zusam- 
men und sendet die Nachrichtenkette e und den Signaturbe- 
standteil s als Signaturpaar von einem Sender 42 durch den 
Kanal 16. Bei Einsatz als postalisches System kann die 
Nachricht dann in einen wahrnehmbaren Code, wie zum 
Beispiel einen zweidimensionalen Strichcode, ubersetzt 
werden, als Angaben 20 auf einen Datentrager 22 aufgetra- 
gen werden, wie in Fig. 1 angedeutet, und spater von dem 
Empfanger 14 gelesen werden. Je nach der jeweiligen An- 
wendung ist es moglich, daB die Angaben 20 sichtbar wahr- 
genommen werden, wie bei einem gedruckten Strichcode, 
magnetisch durch Drucken mit magnetischer Farbe, oder sie 
konnten von einem Laser optisch gelesen werden. 

Bei Empfang durch den Empfanger 14 am Empfangsgerat 
50 berechnet die Verschlusselungseinheit 28 anfanglich den 
Hash-Wert e'*, indem die empfangene Nachrichtenkette e 
mit der Hash-Funktion h, wie bei 52 angedeutet, einem Has- 
hing unterzogen wird. Ein offentlicher Schlussel r*, der mit 
der ganzen Zahl k in Beziehung steht, wird dann in der 
Arithmetikeinheit 54 berechnet, wobei Operationen in dem 
zugrundeliegenden Feid verwendet werden, um den Genera- 
tor a mit dem empfangenen Wert des Bestandteils s zu po 
tenzieren, und der offentliche Schlussel des Teilnehmers 12 
mit dem berechneten Hash-Wert e'* potenziert wird, das 
hciBt 

r* = a^OT 3 ) 6 '*. 
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A us dem wiederhergestellten offentlichen Schlussel wird 
dann ein Verschlusselungsschlussel r*' hergeleitet. 

Ein Verschlusselungsmodul 56 verarbei let dann die emp- 
fangene Nachrichtenkette e, wobei der Verschliisselungs- 
schlussel r*' verwendet wird, urn die Nachricht in wieder- 5 
herzustelien. Die Nachricht m enthalt die erforderiiche Red- 
undanz, die uberpriift werden kann, um die Echtheit der 
Nachricht festzustellen. 

Es versteht sich, daB die in Fig. 3 umrissene Prozedur als 
Software realisiert und auf einem Allzweckxechner ausge- to 
fiihrt oder in einer integrierten Spezialschaltung realisiert 
werden kann. 

Man wird bemerken, daB der Hash-Wert e* eine Misch- 
summe aller verschlusselten Blocke ist, die verkettet sind, 
weshalb es nicht moglich ist, einen der Blocke zu manipu- 15 
lieren, ohne den resultierenden Hash-Wert zu beeinflussen. 
O.bwohl mehrere Blocke gesendet und wiederhergestellt 
werden, ist nur eine Signatur erforderlich, was die Nachrich- 
tenlange insgesamt reduziert. 

Eine weitere Ausfiihrungsform ist in Fig. 4 gezeigt, bei 20 
der gleiche Bezugszeichen gleiche Parameter bezeichnen, 
wobei der Ubersichtlichkeit halber die Nachsilbe "a" ange- 
fUgt ist. 

Bei der Ausfiihrungsform von Fig. 4 beinhaltet die Nach- 
richt m als Nachrichtenblock m 5a ein von einer sicheren Be- 25 
rechtigungss telle ausgestelltes Zertifikat. Das Zertifikat ent- 
halt ausreichend Inforrnationen, um die Authentifizierung 
des offentlichen Schliissels des Teilnehmers 12 und der Pa- 
rameter des zugrundeliegenden Systems zu gestatten. Die 
Nachrichtenkette e wird wie oben angedeulet zusaimnenge- 30 
stellt, indem jeder der Blocke verschlusselt wird, um eine 
Kette e la , e^ usw. einschlieBlich dem Zertifikat m 5a zu lie- 
fern. 

Es wird dann die Mischsumme e f a erhalten, die verwendet 
wird, um einen Signaturbestandteil s a der Form 35 

s a = ae' a + k mod(n) 

zu erzeugen. 

Nach Wiederherstellung durch den Empfanger 14 enthalt 40 
die wiederhergestellte Nachricht das Zertifikat m 5a , das als 
Teil der zugrundeliegenden Systempararneter die erforderii- 
che Redundanz aufweist. Durch die Redundanz des Zertifi- 
kates m 5a wird somit die Nachricht rn beglaubigt und die 
Notwendigkeit der Redundanz in den weiteren Blocken ver- 45 
mieden. Da die in der Signatur s verwendete Mischsumme 
eine Mischsumme aller Blocke ist, ist es jedoch nicht mog- 
lich, einen Block innerhalb der Nachricht zu ersetzen 5 und 
gleichzeitig die Echtheit der Signatur zu bewahren. 

Es versteht sich, daB der Signaturbestandteil s jede belie- 50 
bige geeignete Form aufweisen kann, die gewohnlich in Di- 
gitalsignatur-Protokollen verwendet wird, die die Wieder- 
herstellung des kurzfristigen offentlichen Schliissels und so- 
mit des Verschlusselungsschliissels aus einer Mischsumme 
der verschlusselten Nachricht gestatlen. 55 

Paten tanspriiche 

1. Digitalsignatur-Protokoll zum Beglaubigen digita- 
ler Inforrnationen, die von einem Teilnehmer iiber ein 60 
Datenkommunikationssystem zu einem anderen iiber- 
tragen werden* wobei das Protokoll folgende Schritte 
umfatit: Erzeugen eines offentlichen Schliissels aus ei- 
ner ganzen Zahl k, Verschliisseln einer die Inforrnatio- 
nen cnthaltcndcn Nachricht mit einem aus dem offent- 65 
lichen Schlussel hergeleiteten Verschliisselungsschlus- 
sel, um einen Schlusseltext e der Nachricht zu bilden, 
Anwenden einer Hash-Funktion auf den Schliisseltext, 



um eine Mischsumme e' zu bilden, Erzeugen eines die 
Mischsumme e' und die ganze Zahl k beinhaltenden Si- 
gnat urbestandteils s, Weiterleiten eines den Schliissel- 
text e und den Bestandteil s enthaltenden Signaturpaars 
an den anderen Teilnehmer, Unterziehen des von dem 
anderen Teilnehmer empfangenen Senilis seltextes e ei- 
nem Hashing mit der Hash-Funktion, um eine empfan- 
gene Mischsumme e'* zu erhalten, Verwenden der 
empfangenen Mischsumme e'*, um aus dem Signatur- 
bestandteil den Verschliisselungsschlussel wiederher- 
zustellen, und Zuruckgewinnen der Nachricht in aus 
dem Schlusseltext e durch Anwenden des wiederherge- 
stellten Schliissels r. 

2. Digitalsignatur-Protokoll nach Anspruch 1, bei dem 
der Schlusseltext als wahrnehmbarer Code auf einen 
Datentrager zur Ubertragung von einem Teilnehmer 
zum anderen aufgetragen wird. 

3. Digitalsignatur-Protokoll nach Anspruch 2, bei dem 
der Code ein zweidimensionaler Strichcode ist 

4. Digitalsignatur-Protokoll nach Anspruch 1, bei dem 
der Signaturbestandteil einen zweiten privaten Schlus- 
sel des einen Teilnehmers enthalt und bei der Wieder- 
herstellung des Verschlusselungsschliissels ein dem 
zweiten privaten Schlussel entsprechender offentlicher 
Schlussel verwendet wird. 

5. Digitalsignatur-Protokoll nach Anspruch 4, bei dem 
die Nachricht ein Zertifikat zum Beglaubigen des dem 
zweiten privaten Schlussel entsprechenden offentli- 
chen Schliissels enthalt. 

6. Digitalsignatur-Protokoll nach Anspruch 4, bei dem 
der Signaturbestandteil s die Form 

s = ae' + k aufweist, wobei 

a der zweite private Schlussel, 

e' die Mischsumme des Schlusseltextes e und 

k die ganze' Zahl ist. 

7. Digitalsignatur-Protokoll nach Anspruch 1, bei dem 
die Nachricht aus mehreren diskreten Nachrichten zu- 
sammengestellt ist, von denen jede verschlusselt und 
ubersetzt wird, um den Schlusseltext zu bilden. 

8. Digitalsignatur-Protokoll nach Anspruch 1, bei dem 
der offentliche SchlUssel von einem Punkt auf einer el- 
liptischen Kurve hergeleitet wird. 

9. Vorrichtung zum Erzeugen einer digitalen Signatur 
einer Nachricht m zur Ubertragung iiber ein Daten- 
kommunikationssystem, wobei die Vorrichtung folgen- 
des umfaBt: einen Potenzierer zum Erzeugen eines of- 
fentlichen Schliissels r aus einem privaten Schlussel k, 
ein Verschlusselungsmodul zum Verschliisseln der 
Nachricht m mit einem aus dem offentlichen Schlussel 
r hergeleiteten Schlussel und Erzeugen eines Schlussel- 
textes e, eine Hash-Funktion zum Durchfuhren von 
Operationen an dem Schlusseltext e und Erzeugen ei- 
ner Mischsumme e'.des Schlusseltextes, eine Arithme- 
tikeinheit zum Erzeugen eines die Mischsumme e' und 
den privaten Schlussel k beinhaltenden Signaturbe- 
standteils und ein Sendegerat zum Senden eines den Si- 
gnaturbestandteil und den Schlusseltext umfassenden 
Signaturpaars iiber das Kommunikationssystem. 

10. Vorrichtung nach Anspruch 9, wobei die Arithme- 
tikeinheit einen Signaturbestandteil der Form 

s = ae' + k erzeugl, wobei 

a ein zweiter privater Schlussel, 

e' die Mischsumme des Schlusseltextes e und 

k der private Schlussel ist. 

11. Vorrichtung nach Anspruch 9 mit einem Strichco- 
degenerator zum Erzeugen eines wahrnehmbaren 
Strichcodes des Signaturpaars auf einem Trager. 

12. Vorrichtung zum Verifizieren einer iiber ein Daten- 
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kommunikationssystem empfangcnen digitalen Signa- 
tur, wobei die Vorrichtung folgendes enthalt: ein Emp- 
fangsgerat zum Empfangen eines Signaturpaars mil ei- 
nem einen privaten Schlussel k und eine Mischsumme 
e' von Schlusseltext e einer Nachricht in und den 5 
Schlusseltext e beinhaltenden SignaturbestandLeil s, 
eine Hash-Funklion zum Durchfuhren von Opera I io- 
nen an dem Schlusseltext e und Liefern einer Misch- 
summe e'*, eine Arithmeukeinheil zum Wiederherstel- 
len eines mit dem privaten Schlussel k in Beziehung 10 
stehenden ofFentlichen Schlussels und ein Verschliis- 
selungsmodul zum Anwenden eines von dem offentli- 
chen Schlussel hergeteiteten Verschlusselungsschlus- 
seis auf den Schlusseltext und Wiederherstellen der 
Nachricht m. 15 

13. Vorrichtung nach Anspruch 12, bei der der Signa- 
turbestandleil die Form 

s = ae' + k aufweist, wobei 

a ein zweiter privater Schlussel, 

e' eine Mischsumme des Schlusseltextes e und 20 
k der private Schlussel ist. 

14. Vorrichtung nach Anspruch 12 mit einem Strich- 
codelesegerat zum Lesen eines das Signaturpaar dar- 
stellenden Slrichcodes auf einem Trager. 

" 25 
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